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@ Verfahren zur Verhinderung unzulassiger Abweichungen vom Ablaufprotokoll einer Anwendung bei 
einem Datenaustauschsystem. 
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@ Ein Datenaustauschsystem umfafit beisplelswei- 
se ein Terminal T und eine Cliipkarte K. Fur ver- 
schiedene Anwendungen (z.B. Geldautomat, Rech- 
nerzugang) werden in der Chipkarte K gespeicherte 
Basisfunktionen B in einer jewetis in einem Protokoll 
festgelegten Reihenfolge abgearbeitet. Da die Basis- 
funktionen B vom Termial T aus aufgerufen werden, 
konnte durch gezielte Anderungen des Protokollab- 
laufes am Terminal T die Datensicherheit beein- 
trachtigt werden. Durch Speichern der zulassigen 
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Protokolle in einer Steuerliste STL und Einrichten 
eines Zustandsspeicherbereiches ZS auf der Chip- 
karte K wird es moglich, den Protokollablauf auf der 
Chipkarte K unabhangig vom Terminal T zu kontrol- 
lieren, Der jeweilige Zustand Z einer Anwendung 
wird im Zustandsspeicherbereich ZS fixiert. In der 
Steuerliste STL sind samtliche bei einem Zustand Z 
zulassigen Basisfunktionsbezetchnungen Bn abge- 
legt. 
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Tragbare Datentrager sind magnetische, opti- 
sche Oder sonstige physikalische Speichereigen- 
schaften nutzende Objekte. Wenn diesen Datentra- 
gern Intelligenz in Form eines Mikroprozessors zu- 
geordnet ist, sind diese Datentrager besonders 
vielseitig verwendbar und erfullen hochste Anforde- 
rungen an die Datensicherheit. Am meisten verbrei- 
tet sind diese intelligenten Datentrager in Form von 
Chipkarten. 

Die Chipkarte ist vielseitig anwendbar, bei- 
spielsweise als bargeldloses Zahlungsmittel, als 
Personal- oder Versicherungsausweis. als Schliis- 
sel zum Zugang zu Rechnern und fur alle sonsti- 
gen Anwendungen, bei denen die eindeutige Identi- 
fizierung eines Anwenders notwendig ist oder die 
Berechtigung eines Anwenders eine bestimmte An- 
wendung auszufuhren, nachgewiesen werden mufi. 
Ist eine einzige Chipkarte fur mehrere solche An- 
wendungen verwendbar, so spricht man von einer 
multifunktionalen Chipkarte. Auf Grund ihres physi- 
kalischen Aufbaus - neben dem Prozessor sind auf 
dem Chip ein maskenprogrammierbarer ROM- 
Speicherbereich. ein als Arbeitsspeicher dienender 
schneller RAM-Speicherbereich und ein nicht fluch- 
tiger, programmierbarer Speicherbereich 
(EEPROM-Speicherbereich) untergebracht - kon- 
nen die Chipkarten vom Kartenherausgeber durch 
entsprechende Programmierung des EEPROM- 
Speicherbereichs fur viele Anwendungen program- 
miert werden. Bei jeder Anwendung mussen ge- 
mafi einem vorgegebenen Protokoil einige der im 
ROM-Speicherberetch abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

Fur jede Anwendung ist im EEPROM-Speicher- 
bereich ein Anwendungsdatenfeld eingerichtet. Auf 
in einem solchen Feld eingetragene Daten kann 
eine Basisfunktion nur zugreifen, wenn diese An- 
wendung vorher aufgerufen wurde. !m Anwen- 
dungsdatenfeld konnen Daten mit unterschiedli- 
chen Zugriffsbedingungen abgelegt sein. Es kann 
beispielsweise festgelegt sein, daj3 Daten nur dann 
gelesen oder verandert werden konnen, wenn sich 
der Chipkartenbenutzer durch eine PIN-Nummer 
(personliche Identifikationsnummer) zu erkennen 
gibt. 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeitet werden soli, und 
die zur Berechtigungsprufung erforderlichen Infor- 
mationen erhalt die Chipkarte durch Datenaus- 
tausch mit einem Terminal. Mit diesem Terminal ist 
die Chipkarte direkt durch elektrische Kontakte 
Oder indirekt uber optische oder induktive Koppel- 
einrichtungen verbunden. Vom Terminal aus kon- 
nen also Basisfunktionen zur Abarbeitung auf der 
Chipkarte aufgerufen werden. Die Reihenfolge, in 
der diese Basisfunktionen aufgerufen werden, wird 
demnach vom Terminal bestimmt. Da es aus si- 
cherheitstechnischen Grunden erforderlich ist, die 



Basisfunktionen in einer bestimmten Reihenfolge 
abzuarbeiten, besteht durch eine mogliche Manipu- 
lation am Terminal, durch die die Ablaufreihenfolge 
verandert werden konnte, oder durch die bestimm- 
6 te Basisfunktionen ausgelassen werden konnten, 
ein Sicherheitsrisiko. 

Der Erfindung liegt die Aufgabe zugrunde, bei 
einem Datenaustauschsystem der eingangs ge- 
nannten Art das sicherheitstechnische Risiko der 
10 unzulassigen, durch Manipulation am Terminal her- 
beigefCihrten Veranderung eines Ablaufprotokolls 
einer Anwendung auszuschalten. 

Diese Aufgabe wird erfindungsgemafi durch 
die im Patentanspruch 1 angegebenen Merkmaie 
15 gelost. 

Durch die Speicherung der zulassigen Proto- 
kotlablaufe auf dem Datentrager setbst und der 
erfindungsgemaBen Nutzung dieser Speicherung 
im Zusammenwirken mit dem Zustandsspeicherbe- 
20 reich, wird die Sicherheit des Datenaustauschsy- 
stems zusatzlich erhoht. Der Datentrager selbst 
kann Manipulationen am Terminal erkennen und 
geeignete GegenmaiSnahmen einleiten. Zudem 
kann das erfindungsgemafle Verfahren fur beliebi- 
25 ge Anwendungen eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
gen des erfindungsgemafien Verfahrens und einer 
Vorrichtung zur Durchfuhrung des Verfahrens sind 
in den Unteranspruchen angegeben. 
30 Im folgenden wird ein Ausfuhrungsbeispiel der 

Erfindung anhand der Zeichnungen naher ertautert. 
Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchfuhrung des erfindungsgemafien Verfah- 
35 rens, 

FiG 2 ein Ablaufdiagramm einer Anwendung, 
FIG 3 eine Nachfolgertabelle zum Ablaufdia- 
gramm, 

FIG 4 Auszuge aus einer Steuerliste zum Ab- 
40 laufdiagramm und 

FIG 5 einen Zustandsspeicherbereich des Da- 
tentragers. 

FIG 1 zeigt ein Datenaustauschsystem, beste- 
hend aus einem vorzugsweise als Chipkarte K aus- 

45 gebildeten Datentrager und einem Terminal T. Das 
Terminal T ist ein mit einer Schnittstelle zum Da- 
tenaustausch mit einer Chipkarte K ausgestattetes 
Datenein-Zausgabegrat einer Datenverarbeitungsan- 
lage, beispielsweise ein Geldautomat, ein Konto- 

50 auszugdrucker, eine Personenidentifizierungsein- 
richtung oder auch ein entsprechend ausgerOsteter 
Telefonapparat. 

Anstelle einer Chipkarte K sind auch andere 
Datentrager denkbar, die von der geometrischen 

55 Form der Chipkarte K mehr oder weniger abwei- 
chen. Maj3geblich ist lediglich, dajS der Datentrager 
einen Prozessor P und einen Speicher S enthalt. 
Im AusfOhrungsbeispiel sind die Chipkarte K und 
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das Terminal T iiber elektrische Kontakte losbar 
miteinander verbunden. 

Der Speicher S der Chipkarte K ist in drei sich 
in der Speichertechnik unterscheidende Bereiche 
eingeteilt: Ein elektrisch losch- und wiederbe- 
schreibbarer Speicherteil EEPROM, ein schneller, 
als Arbeitsspeicher benutzter schreib- und lesbarer 
Speicher RAM und ein maskenprogrannmierbarer 
Speicherbereich ROM. Gema^ ihrer Speichereigen- 
schaften warden die drei Speicherbereiche unter- 
schiedlich genutzt. !m nnaskenprogrammierbaren 
Speicherbereich ROM sind vom Kartenhersteller 
die anwenderunabhangigen, universell anwendba- 
ren Daten und Programme gespeichert. Unter an- 
derem sind in diesem maskenprogrammierbaren 
Speicherbereich ROM mehrere Basisfunktionen B 
mit den Bastsfunktionsbezeichnungen B1„.Bn, 
Krypto-Algorithmen KA beispielsweise zur Ver- 
schlusselung der Daten beim Datenaustausch und 
ein Betriebssystem BTS der Chipkarte K eingetra- 
gen. Im schreib- und lesbaren Speicherbereich 
RAM werden solche Daten abgelegt, die wahrend 
der Dauer einer Verbindung zwischen Terminal T 
und Chipkarte K benotigt werden. Unter anderem 
sind das die EinVAusgangsdaten I/O und Daten, 
die in einem Zustandsspeicherbereich ZS abgelegt 
werden. Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeber festgelegten Daten gespeichert. Die- 
ser Speicherbereich EEPROM enthalt in einem so- 
genannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten, auf die 
nur bezuglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt. Das Gemeinschaftsdatenfeld CDF und die 
Andwendungsdatenfelder ADF enthalten zusatzlich 
sogenannte Steuerlisten STL, in denen jeweils min- 
destens die Ablaufreihenfolge einer Anwendung 
festgelegt ist. Eine einem bestimmten Anwen- 
dungsdatenfeld ADF zugeordnete Steuerliste STL 
kann auch aujSerhalb des Anwendungsdatenfeldes 
ADF im Gemeinschaftsdatenfeld CDF gespeichert 
werden. Dies ist immer dann sinnvoll, wenn fur 
verschiedene Anwendungen die gleiche Ablaufrei- 
henfolge vorgeschrieben Ist. Da die Steuerliste STL 
dann fCir zwei Oder mehrere solcher Anwendungen 
nur einmal gespeichert werden mu^ kann Speicher- 
platz gespart werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt. Ausgehend von einem Anfangszu- 
stand 21 folgt durch Abarbeitung einer vierten Ba- 
sisfunktion B4 auf den Anfangszustand Z1 ein 
zweiter Zustand Z2. Von diesem zweiten Zustand 
22 ausgehend, ist alternativ die Abarbeitung zweier 
Basisfunktionen B2, B3 moglich. Mit erfolgreicher 
Abarbeitung der zweiten Basisfunktion B2 kommt 



die Anwendung in einen dritten 2ustand 23 und mit 
der erfolgreichen Abarbeitung der dritten Basis- 
funktion B3 gerat die Anwendung in einen vierten 
2ustand 24. Vom vierten 2ustand 24 ausgehend 

5 ist nur die Abarbeitung der ersten Basisfunktion B1 
eriaubt, wodurch die Anwendung in einen funften 
2ustand 25 gerat. Von diesem funften 2ustand 25 
ausgehend, ist entweder die Abarbeitung der zwei- 
ten Basisfunktion B2 oder der dritten Basisfunktion 

10 B3 zugetassen, wahrend die Abarbeitung der drit- 
ten Basisfunktion B3 zum vierten 2ustand 24 der 
Anwendung zuruckfuhrt, fuhrt die Abarbeitung der 
zweiten Basisfunktion B2 zu einem Endzustand 26 
der Anwendung. Wenn, vom zweiten 2ustand 22 

75 ausgehend, die zweite Basisfunktion B2 abgearbei- 
tet wird, gerat die Anwendung In den dritten 2u- 
stand 23. Von diesem 2ustand 23 ausgehend ist 
lediglich die Abarbeitung der funften Basisfunktion 
B5 zulassig, die zum Endzustand 26 der Anwen- 

20 dung fuhrt. 2usatzlich ist bei jedem 2ustand 2 der 
Anwendung die Abarbeitung einer sechsten Basis- 
funktion B6 und einer schlieflenden Basisfunktion 
BC eriaubt. Stellvertretend fur samtliche sechsten 
Basisfunktionen B6 ist diese nur beim dritten 2u- 

25 stand 23 der Anwendung in der FIG 2 eingezeich- 
net. Die Abarbeitung der sechsten Basisfunktion B6 
fuhrt immer wieder zu dem 2ustand 2 zuruck, von 
dem sie ausglng. Die Abarbeitung der schlieiSen- 
den Basisfunktion BC fuhrt stets zur Beendigung 

30 der Anwendung. 

In FIG 3 ist eine Nachfolgertabelle abgebildet. 
In der ersten Spalte sind samtliche innerhalb der 
Anwendung moglichen 2ustande 2 mit den Num- 
mern 1 bis 6 eingetragen. In der zweiten Spalte ist 

35 zu jedem 2ustand die Anzahl BA der zulassigen 
Basisfunktionen B eingetragen. Gema^ dem Ab- 
laufdiagramm aus FIG 2 sind dies zwei Basisfunk- 
tionen B zum ersten 2ustand 21 , drei Basisfunktio- 
nen B zum zweiten 2ustand 22, zwei Basisfunktio- 

40 nen B zum dritten Zustand 23, zwei Basisfunktio- 
nen B zum vierten 2ustand 24, drei Basisfunktio- 
nen B zum funften 2ustand 25 und zwei Basisfunk- 
tionen B zum sechsten 2ustand 26. Da das Been- 
den einer Anwendung keinen Anwendungszustand 

45 zur Folge hat, Ist die bei jedem 2ustand Z mogli- 
che schliefiende Basisfunktion BC in der Nachfol- 
gertabelle der FIG 3 nicht berucksichtigt. Nach der 
zweiten Spalte sind in der Tabelle mehrere Spal- 
tenpaare angegeben. Die Zahl der Spaltenpaare 

50 entspricht der maximalen Anzahl BA der zulassigen 
Basisfunktionen B, die auf einen 2ustand Z folgen 
konnen. Jedes Spaltenpaar besteht aus einer Spal- 
te, in der die Nummer B1...B6 der jeweils zulassi- 
gen Basisfunktion B angegeben ist und aus einer 

55 zweiten Spalte, in die die Folgezustandsbezeich- 
nung 2F, des auf den jeweiligen 2ustand 2 nach 
Abarbeitung einer Basisfunktion B folgenden 2u- 
standes 21 ...26 eingetragen ist. So sind beispiels- 
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weise im zweiten Zustand Z2 drei Basisfunktionen 
B zur Abarbeitung zugelassen, namlich die zweite 
Basisfunktion B2, die dritte Basisfunktion B3 und 
die sechste Basisfunktion 86. Auf die zweite Basis- 
funktion B2 folgt der dritte Zustand Z3, auf die 
dritte Basisfunktion B3 folgt der vierte Zustand Z4 
und auf die sechste Basisfunktion B6 folgt der 
zweite Zustand Z2. 

Die Nachfolgertabelle gemaj3 FIG 3 konnte in 
dieser Fornn zwar abgespeichert werden; diese 
Speicherfornr> hatte aber einen hohen Aufwand bei 
der Auswertung dieser Tabelle zur Folge. Deshalb 
wird die Nachfolgetabelle in Form einer Steuerliste 
STL, wie sie in FIG 4 angegeben ist, gespeichert. 

FIG 4 zeigt ausschnittsweise eine Steuerliste 
STL, die in zwei Speicherbereiche 81 und S2 ein- 
getragen ist. Im Speicherbereich S1 sind ein Steu- 
erlistenkopf SK und ein Steuerlistenrumpf SR un- 
tergebracht und im Speicherbereich 52 ist eine 
Ausnahmenliste SA abgelegt. Der Steuerlistenkopf 
SK enthalt je einen Speicherplatz fur eine Steuerli- 
stenkopflange SKL und fur eine Ausnahmenlisten- 
blocknummer SAN. Desweiteren enthalt der Steu- 
erlistenkopf SK nacheinander den zulassigen Zu- 
standen Z in aufsteigender Reihenfolge zugeordne- 
te Speicherplatzpaare, in die jeweils die Anzahl 
SBA der beim betreffenden Zustand Z zulassigen 
Basisfunktionen B (mit Ausnahme der Basisfunktio- 
nen B, dessen Basisfunktionsbezeichnungen Bn in 
einer Ausnahmenliste SA eingetragen sind) und ein 
Pointer SBP eingetragen sind. Dieser Pointer SBP 
zeigt auf einen Speicherplatz im Steuerlistenrumpf 
SR, an dem die zulassigen Basisfunktionen B und 
ihre Folgezustande ZF abgelegt sind. Der Steuerli- 
stenrumpf SR besteht aus Gruppen von Datentu- 
peln, wobei auf den Anfang jeder Gruppe der Poin- 
ter SBP aus dem Steuerlistenkopf SK zeigt. Ein 
solches Tupel setzt sich aus einem Speicherplatz 
fur die Bezeichnung einer Basisfunktion B und ei- 
nem Speicherplatz fur eine Folgezustandsbezeich- 
nung ZF eines zwingend auf die im Tupel bezeich- 
nete Basisfunktion B folgenden Zustandes Z zu- 
sammen. Wie die FIG 4 zeigt, sind im Steuerlisten- 
kopf SK dem ersten Zustand Z1 eine Funktionsan- 
zahl SBA1 und ein Pointer SBP1 zugeordnet. Der 
Pointer SBP1 weist auf die dem ersten Zustand Z1 
zugeordnete Gruppe im Steuerlistenrumpf SR, die 
ein Datentupet enthalt. In die Speicherplatze dieses 
Datentupels sind die Bezeichnung der vierten Ba- 
sisfunktion B4 und die Folgezustandsbezeichnung 
ZF des auf die erfolgreiche Abarbeitung der vierten 
Basisfunktion B4 folgenden zweiten Zustandes Z2 
eingetragen. Diese Eintragungen entsprechen den 
Eintragungen, die an entsprechender Stelle aus 
FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien Zustanden Z der Anwendung die 
Abarbeitung der sechsten Basisfunktion B6 und die 
Abarbeitung der die Anwendung beendenden 



schlie/Jenden Basisfunktion BC zulassig ist, ist es 
vorteilhaft, diese Basisfunktionen nicht im Steuerli- 
stenrumpf SR einzutragen. Durch die Einrichtung 
der Ausnahmenliste SA im zweiten Speicherbe- 

5 reich S2 konnen die Bezeichnungen der bei jedem 
Zustand Z zulassigen Basisfunktionen B6, BC spei- 
cherplatzsparend in eine Steuerliste STL eingefugt 
werden. Im Steuerlistenkopf SK ist in den Spei- 
cherplatz neben der Steuerlistenkopflange SKL 

10 eine Ausnahmenlistenblocknummer SAN eingetra- 
gen. Durch diese Nummer wird die Ausnahmenliste 
SA der Anwendung zugeordnet. Durch diese Art 
der Ausnahmenlistenzuordnung und gemeinsam 
mit der Speicherung der Ausnahmenliste SA im 

15 Gemeinschaftsdatenfeld CDF ist es auch moglich, 
eine Ausnahmenliste SA fur verschiedene Anwen- 
dungen zu ven^renden. 

FIG 5 zeigt eine spezielle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

20 ZS enthalt Informationen zum Protokollablauf und 
zur Datenzugriffskontrolte. Zu den Informationen 
zum Protokollablauf gehoren die Blocknummer 
STB der Steuerliste STL, die Bezeichnung der zu- 
letzt erfolgreich abgearbeiteten Basisfunktion B, die 

25 im Basisfunktionsspeicherplatz BZ eingetragen ist 
und die Information uber den aktuellen Protokollzu- 
stand Z, die im Protokoltzustandsspeicherplatz Zi 
abgelegt ist. Die Speicherplatze zur Datenzugriffs- 
kontrolle umfassen einen Platz APIN fur die Kenn- 

30 zeichnung einer erfolgreich durchgefuhrten PIN- 
Prufung innerhalb der Anwendung, zwei Speicher- 
platze zum Ablegen der Information, ob zwei ver- 
schiedene Authentizitatsprufungen AUTH1, AUTH2 
erfolgreich durchgefuhrt wurden, einige Reserve- 

35 speicherplatze RES und einen Speicherplatz, in 
dem die Information eingetragen wird, ob eine glo- 
bale PIN-Prufung GPIN erfolgreich durchgefuhrt 
wurde. 

Im folgenden wird der Ablauf des erfindungs- 

40 gemaj3en Verfahrens unter Einbeziehung der oben 
beschriebenen Vorrichtung eriautert. 

Mit dem Einstecken einer Chipkarte K in das 
Terminal T wird mittels elektrischer Kontakte Oder 
gegebenenfalls auch kontaktlos eine elektrische 

45 Verbindung zwischen Terminal T und Chipkarte K 
hergestellt. Diese Verbindung wirkt sowohl hinsicht- 
lich der Stromversorgung als auch bezugtich der 
Ankopplung der Ein-/Ausgabeeinrichtungen I/O des 
Terminals T und der Chipkarte K. Durch das Ein- 

50 stecken der Chipkarte K wird der gesamte Arbeits- 
speicherbereich in einen bestimmten Zustand - 
z.B. alle Bit = 0 - zuruckgesetzt. 

Das Terminal T ist in diesem Beispiel einer 
bestimmten Anwendung - beispielsweise einem 

55 Geldautomaten einer Bank - zugeordnet. Die jewei- 
lige Art der Anwendung wird der Chipkarte K in der 
Weise mitgeteilt, dafl das Terminal T ein spezifi- 
sches Applikationskommando an die Chipkarte K 
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Gbertragt. Auf der Chipkarte K wird nun uberpruft, 
ob auf der Chipkarte K ein Anwendungsdatenfeld 
ADF fur diese spezielle Anwendung vorhanden isl 
1st dieses Anwendungsdatenfeld ADF vorhanden, 
findet eine teilweise Initialisierung des Zustands- 
speicherbereichs ZS statt. Diese Initialisierung hat 
zur Folge, 6afi die Blocknumnner STB der dieser 
Anwendung zugeordneten, im Anwendungsdaten- 
feld ADF Oder im Gemeinschaftsdatenfeld CDF ver- 
merkten Steuerliste STL im Zustandsspeicherbe- 
reich ZS eingetragen wird und der Protokollzu- 
standsspeicherplatzZi, in dem der aktuelle Anwen- 
dungszustand Z eingetragen werden mufl, auf den 
ersten Zustand Z1 gesetzt wird. Desweiteren wer- 
den samtliche Bit der anwendungsbezogenen Spei- 
cherplatze zurCickgesetzt (beispielsweise 0). Die Bit 
der Speicherplatze fiir globale Daten bleiben un- 
verandert. 

Nach der Meldung an das Terminal T, da^ der 
Initialisierungsvorgang abgeschlossen ist, erfolgt 
die Ubertragung eines Funktionskommandos vom 
Terminal T zur Chipkarte K, wobei dieses Funk- 
tionskommando, z.B. die vierte Basisfunktion B4 
bezeichnet und die notwendigen Eingangsdaten fiir 
diese Basisfunktion B4 enthalt. Die Chipkarte K 
befindet sich auf Grund der Eintragung im Zu- 
standsspeicherbereich ZS im ersten Zustand Z1. 
Es wird nun im Steuerlistenkopf SK, der Steuerliste 
STL mit der im Zustandsspeicherbereich ZS einge- 
tragenen Blocknummer STB, dasjenige Datenpaar 
gelesen, das dem ersten Zustand Z1 zugeordnet 
ist. Im Speicherptatz SBA1 ist eingetragen, dafl in 
diesem ersten Zustand Z1 nur eine Basisfunktion B 
zulassig ist. Der neben diesem Speicherplatz ein- 
getragene Pointer SBP1 zeigt auf die dem ersten 
Zustand Z1 zugeordnete Gruppe von Datentupeln. 
Dieses Tupel enthalt die Bezeichnung der vierten 
Basisfunktion B4 und die Bezeichnung des auf die 
vierte Basisfunktion B4 folgenden Zustandes Z2. 
Der Vergleich der vom Terminal T ubertragenen 
Basisfunktionsbezeichnung B4 und der Basisfunk- 
tionsbezeichnung B4, die im Datentupel des Steu- 
erlistenrumpfes SR eingetragen ist, liefert ein posi- 
tives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskomman- 
do ubertragenen Eingangsparameter abgearbeitet. 
Unter der Annahme, daJ3 die vierte Basisfunktion 
B4, die fiir die PIN-Priifung zustandige Funktion ist. 
und daj3 die PIN-Nummer vor dem Funktionsaufruf 
am Terminal T richtig eingegeben wurde. liefert die 
vierte Basisfunktion B4 das Ergebnis, daj3 die PIN- 
Prufung erfolgreiche vorgenommen wurde. Am Ba- 
sisfunktionsspeicherplatz BZ fur die zuletzt erfolg- 
reich ausgefuhrte Basisfunktion B des Zustands- 
speicherbereiches ZS wird die Bezeichnung der 
vierten Basisfunktion B4 eingetragen. Zusatzlich 
wird an einem der Speicherplatze APIN Oder GPIN, 



beispielsweise durch Setzen eines Bit. die erfolg- 
reich ausgefuhrte PIN-PrOfung vermerkt. Welches 
Bit der beiden Speicherplatze gesetzt wird hangt 
davon ab. ob mit dem gleichen Terminal T mehre- 

5 re Anwendungen realisierbar sind und davon. ob 
fiir alle Anwendungen, fur die die Chipkarte K 
zugelassen ist, die gleiche PIN-Nummer erforder- 
lich ist. Da im beschriebenen Fall das Terminal T 
ausschtiefilich dem Geldautomaten zugeordnet ist 

10 und damit nur eine Anwendung mit diesem Termi- 
nal T durchgefuhrt werden kann, wird der Speicher- 
platz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt. 

Der Zustand Z der Anwendung wird dadurch in 

76 den zweiten Zustand Z2 ubergefuhrt, daj3 der im 
Datentupel im Steuerlistenrumpf SR neben der Ba- 
sisfunktionsbezeichnung B4 in Form einer definier- 
ten Bitfolge etngetragene Zustand Z2 in den Proto- 
kollzustandsspeicherplatz Zi des Zustandsspeicher- 

20 bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal 
T die erfolgreiche Abarbeitung der vierten Basis- 
funktion B4 signalisiert, von der Chipkarte K zum 
Terminal T ubertragen wurde, ist der erste Vorgang 

25 abgeschlossen. Die Chipkarte K ist wieder bereit, 
eine Information hier in Form eines Funktionskom- 
mandos, zu empfangen. 

Das Terminal T ubertragt nun ein zweites 
Funktionskommando zur Chipkarte K. Dieses Funk- 

30 tionskommando bezeichnet die dritte Basisfunktion 
B3 und beinhaltet die Eingangsparameter dieser 
Basisfunktion B3. Im Steuerlistenkopf SK wird das 
jeweilige Datenpaar gelesen, das dem zweiten Zu- 
stand Z2 zugeordnet ist. Im Speicherplatz SBA2, 

35 der die Anzahl der zulassigen Basisfunktionen B 
angibt steht die Zahl zwei. Der zugehorige Pointer 
SBP2 zeigt auf den ersten Speicherplatz, der dem 
zweiten Zustand Z2 zugeordneten Gruppe von Da- 
tentupeln im Steuerlistenrumpf SR. 

40 Die in dieser Gruppe eingetragenen Basisfunk- 

tionsbezeichnungen B2, B3 werden mit der Basis- 
funktionsbezeichnung B3, die mit dem Funktions- 
kommando zur Chipkarte K ubertragen wurde, ver- 
glichen. Der Vergleich fallt posittv aus. Nach erfolg- 

45 reicher Abarbeitung der dritten Basisfunktion B3 
wird die Anwendung der Chipkarte K In den Zu- 
stand Z4 versetzt. Unter der Annahme, da/J im 
Zuge der Abarbeitung der Basisfunktion B3 auf im 
Anwendungsdatenfeld ADF abgelegte Daten zuge- 

50 griffon werden mufl und dieser Zugriff nur zulassig 
ist, wenn vorher eine PIN-PrUfung erfolgreich 
durchgefOhrt wurde, werden vor Beginn der Abar- 
beitung der dritten Basisfunktion B3 die PIN-Spei- 
cherplatze APIN. GPIN im Zustandsspeicherbe- 

55 reich ZS gelesen. Nur wenn eines der beiden Bit 
auf 1 gesetzt ist, wird die dritte Basisfunktion B3 
abgearbeitet. Ist diese Abarbeitung beendet, wird in 
den Basisfunktionsspeicherplatz BZ des Zustands- 
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speicherbereichs ZS die Bezeichnung der dritten 
Basisfunktion B3 eingetragen und im ProtokoNzu- 
standsspeicherplatz Zi der vierte Zustand Z4 ein- 
getragen. Zusatzlich wird sin Antwortsignal zunn 
Terminal T ubertragen. 

Mil dam nachsten Funktionskommando wird 
die sechste Basisfunktion B6 angefordert und die 
notwendigen Eingangsparameter zur Chipkarte K 
ubertragen. Im Steuerlistenkopf SK wird das dem 
vierten Zustand Z4 zugeordnete Datenpaar gele- 
sen. Im Speicherplatz fur die Funktionsanzahl 
SBA4 ist eine 1 eingetragen. Der Pointer SBP4 
zeigt im Steuerlistenrumpf SR auf das dem vierten 
Zustand Z4 zugeordnete Datentupel. In diesem Da- 
tentupel steht die Basisfunktionsbezeichnung B1 
der ersten Basisfunktion B und der entsprechende 
funfte Folgezustand Z5. Bin Vergletch der Basis- 
funktionsbezeichnung B1 im Steuerlistenrumpf SR 
und der zur Chipkarte K ubertragenen Basisfunk- 
tionsbezeichnung B6 liefert ein negatives Ergebnis. 
Daraufhin wird im Steuerlistenkopf SK die Ausnah- 
menlistenblocknummer SAN gelesen. Die in der 
Ausnahmenliste SA eingetragenen Basisfunktions- 
bezeichnungen B6, BC werden nun mit der zur 
Chipkarte K hin ubertragenen Basisfunktionsbe- 
zeichnung B6 verglichen. Auf Grund des positiven 
Vergleichsergebnisses und unter der Vorausset- 
zung, da0 eventuelle Datenzugriffsbedingungen er- 
fullt sind, wird die sechste Basisfunktion B6 abge- 
arbeitet. Trotz erfolgreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bleibt ebenfalls unverandert. Auch jetzt erfolgt die 
Ubertragung eines Antwortsignals zum Terminal T. 

Fur den Fall, daB sich die Anwendung nach 
Abarbeitung der dritten Basisfunktion B3 im vierten 
Zustand Z4 befindet und vom Terminal T nochmals 
die dritte Basisfunktion B3 aufgerufen wird, liefern 
samtliche Vergleiche im Steuerlistenrumpf SR und 
in der Ausnahmenliste SA ein negatives Ergebnis. 
In diesem Fall findet ein weiterer Vergleich statt. 
Die zur Chipkarte K ubertragene Basisfunktionsbe- 
zeichnung B3 der dritten Basisfunktion B wird mit 
der im Zustandsspeicherbereich ZS im Basisfunk- 
tionsspeicherplatz BZ eingetragenen Basisfunk- 
tionsbezeichnung B3 verglichen, Dieser Vergleich 
liefert ein positives Ergebnis, wodurch die Abarbei- 
tung der dritten Basisfunktion B3 zugelassen wird. 
Damit ist eine Wiederholbarkeit von Basisfunktio- 
nen B gewahrleistet. 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwen- 
dungen behandelt, bis vom Terminal T die schlie- 
Bende Basisfunktion BC aufgerufen wird, die die 
Anwendung beendet Die schlieBende Basisfunktion 
BC kann nach Abarbeitung jeder beliebigen Basis- 



funktion B aufgerufen werden, da die Basisfunk- 
tionsbezeichnung BC in der Ausnahmenliste SA 
enthalten ist. Fur den Fall, daC keine Ausnahmenli- 
ste SA existiert, mufi der Prozessor P fur den Fall. 

5 daB samtliche vorgenommenen Vergleiche negati- 
ves Ergebnis geliefert haben, uberprufen, ob die 
vom Terminal T aufgerufene Basisfunktion B die 
schliej5ende Basisfunktion BC ist. Auf diese Weise 
kann sichergestellt werden, da/3 auch bei nicht vor- 

10 handener Ausnahmenliste SA die schlieflende Ba- 
sisfunktion BC jederzeit aufrufbar ist. 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis, dann wird dies dem Ter- 
minal T in Form einer selektiven Fehlermetdung 

75 mitgeteilt. Aus dieser selektiven Fehlermeldung 
geht beispielsweise hervor. da/J der Grund fCir die 
Zuruckweisung die Nichtzulassigkeit der Abarbei- 
tung der Basisfunktion B im vorliegenden Anwen- 
dungszustand Z ist. Andere selektive Fehlermel- 

20 dungen konnen beispielsweise anzeigen, dai3 die 
PIN-Nummer falsch eingegeben wurde oder eine 
PIN-PrCifung noch nicht stattgefunden hat. 

In den meisten Fallen wird es genugen, mit 
einem Terminal T nur eine Anwendung auszufuh- 

25 ren. In diesen Fallen genCigt es, wenn erst nach 
Beendigung oder Abbruch einer vorher aktivierten 
Anwendung eine weitere Anwendung aufgerufen 
werden kann. Lafit man aber an einem Terminal T 
mehrere Anwendungen zu, dann kann es sinnvoll 

30 setn, diese Anwendungen auch ineinander ver- 
schachtelt aufzurufen. In diesen Fallen ist es dann 
moglich, nach der Ubermittlung eines Antwortsi- 
gnals von der Chipkarte K zum Terminal T, ein 
Applikationskommando noch vor Beendigung einer 

35 Anwendung zur Chipkarte K zu ubertragen. Wenn 
ein Applikationskommando vor Beendigung einer 
Anwendung die Chipkarte K erreicht, wird der Inhalt 
des Zustandsspeicherbereichs ZS und eine Kenn- 
zeichnung, die die gegenwartig laufende Anwen- 

40 dung eindeutig benennt, in einem Hilfsspeicher ab- 
gelegt. Dieser Hilfsspeicher kann beispielsweise im 
Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach Sicherung dieser Daten im Hilfsspeicher wird 
die teilweise Initlalisierung des Zustandsspeicher- 

45 bereichs ZS vorgenommen. Die mit dem Applika- 
tionskommando bezeichnete eingeschobene An- 
wendung kann in oben beschriebener Weise bear- 
beitet werden. Nach Beendigung der eingeschobe- 
nen Anwendung werden die im Hilfsspeicher abge- 

50 legten Daten der unterbrochenen Anwendung wie- 
der an ihre ursprunglichen Speicherstellen zuruck- 
transferiert. Der Ablaut der vorher unterbrochenen 
Anwendung kann fortgesetzt werden. 

55 Patentanspriiche 

1. Verfahren zur Verhinderung unzulassiger Ab- 
weichungen vom Ablaufprotokoll einer Anwen- 
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dung bei einem Datenaustauschsystem, das 
mindestens aus einem Terminal (T) und min- 
destens einem tragbaren, mindestens etnen 
Prozessor (P) und mindestens einen Speicher 
(S) enthaltenden, wenigstens fur eine Anwen- 5 
dung nutzbaren Datentrager (K) bestelit, mit 
folgenden Merkmalen: 

a) zum Datenaustausch wird der Datentra- 
ger (K) mit dem Terminal (T) verbunden, 
wodurch ein im Speicher (S) des Datentra- 10 
gers vorhandener Zustandsspeicherbereich 

(ZS) in einen Grundzustand versetzt wird, 

b) das Terminal (T) Qbermittelt an den Da- 
tentrager (K) ein Applikationskommando, 

das eine dem Terminal (T) zugeordnete An- 15 
wendung bezeichnet, 

c) das Terminal (T) ubermittelt an den Da- 
tentrager (K) ein Funktionskommando, das 
mindestens eine Basisfunktionsbezeichnung 

(Bk) etner Basisfunktion (B) enthalt, die als 20 
nachste ausgefUhrt werden soli, 

d) diese Basisfunktionsbezeichnung (Bk) 
wird im Datentrager (K) mit im Speicher (S) 
des Datentragers (K) bezuglich der vorher 
bezeichneten Anwendung gespeicherten 25 
Basisfunktionsbezeichnungen (Bn) vergli- 
chen, die im vorliegenden, durch eine Ein- 
tragung im Zustandsspeicherbereich (ZS) fi- 
xierten. Protokollzustand zulassig sind, 

e) nur bei positivem Vergleichsergebnis 30 
wird die der zum Datentrager (K) ubermittel- 

ten Basisfunktionsbezeichnung (Bk) zuge- 
ordnete Basisfunktion (B) im Datentrager (K) 
ausgefUhrt, 

f) nach erfolgreicher Basisfunktionsausfuh- 35 
rung 

fl) werden die im Zustandsspeicherbe- 
reich (ZS) abgelegten Oaten dem neuen 
Protokollzustand angepai3t, 
f2) wird vom Datentrager (K) zum Termi- 40 
nal (T) ein Antwortsignal ubertragen, 

g) bis der Ablauf der Anwendung beendet 
ist Oder abgebrochen wird, wird vom Termi- 
nal (T), nach der Ubertragung eines Ant- 
wortsignals vom Datentrager (K) zum Termi- 45 
nal (T), durch Ubermittelung eines Funk- 
tionskommandos an den Datentrager (K) die 
nachste auszufuhrende Basisfunktion (B) 
aufgerufen. 

50 

2. Verfahren nach Anspruch 1 , dadurch gekenn- 
zelchnet, dafl durch die Ubermittlung des 
Applikationskommandos vom Terminal (T) zum 
Datentrager (K) eine teilweise Initialisierung 

des Zustandsspeicherbereichs (ZS) ausgelost 55 
wird, 

3. Verfahren nach mindestens einem der vorher- 



gehenden Anspruche, dadurch gekennzeich- 
net, dafl die Ubermittlung des Applikations- 
kommandos vom Terminal (T) zum Datentra- 
ger (K) die Eintragung einer Blocknummer 
(STB) im Zustandsspeicherbereich (ZS) be- 
wirkt und dal3 diese Blocknummer (STB) den 
Platz im Speicher (S) des Datentragers (K) 
bezeichnet, an dem die bei der mit dem Appli- 
kationskommando bezeichneten Anwendung 
im jeweils vorliegenden Protokollzustand (Z) 
zulassigen Basisfunktionsbezeichnungen (Bn) 
abgelegt sind. 

4. Verfahren nach mindestens einem der vorher- 
gehenden AnsprOche, dadurch gekennzeich- 
net, dafl die Ubertragung einer Information 
vom Terminal (T) zum Datentrager (K) nur 
dann erfolgen kann, wenn vorher ein Antwortsi- 
gnal vom Datentrager (K) zum Terminal (T) 
ubermittelt wurde. 

5. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, 6aB durch Ubermittlung eines Applika- 
tionskommandos vom Terminal (T) zum Daten- 
trager (K) erst nach Beendigung oder Abbruch 
einer vorher aktivierten Anwendung eine weite- 
re Anwendung aufgerufen werden kann. 

6. Verfahren nach mindestens einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, dafi 
bei Ubermittlung eines Applikationskomman- 
dos vor Beendigung einer Anwendung minde- 
stens der Inhalt des Zustandsspeicherbereichs 
(ZS) in einem Hilfsspeicher abgelegt wird, dafl 
danach die teilweise Initialisierung des Zu- 
standsspeicherbereichs (ZS) erfolgt und dai3 
nach erfolgter Initialisierung die mit dem Appli- 
kationskommando bezeichnete eingeschobene 
Anwendung bearbeitet wird. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, dai3 nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wieder an 
ihre ursprunglichen Speicherstellen zuruck- 
transferiert werden und dafi der Ablauf der 
unterbrochenen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
sprOche, dadurch gekennzeichnet, dai3 zu- 
satzlich zur Basisfunktionsbezeichnung (Bk) im 
Funktlonskommando enthaltene Basisfunk- 
tionseingangsparameter an den Datentrager 
(K) ubermittelt werden. 

9. Verfahren nach mindestens einem der AnsprO- 
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Che 3 bis 8, dadurch gekennzeichnet, 6aB 
nach Erhalt eines Funktionskommandos uber- 
pruft wird, ob eine Blocknummer (STB) im 
Zustandsspeicherbereich (ZS) eingetragen ist. 

10. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, da6 ein 
erster Speicherbereich (SI) des Speichers (S) 
daraufhin uberprCift wird, ob eine Eintragung 
zum vorliegenden Protokollzustand (Z) der mit 
dem Applikationskommando bezeichneten An- 
wendung in diesem ersten Speicherbereich 
(81) vorhanden ist. 

11. Verfahren nach Anspruch 10, dadurch ge- 
kennzeichnet, da/3 im Falle einer vorhande- 
nen Eintragung zum vorliegenden Protokollzu- 
stand (Z) die bezuglich dieses Protokollzustan- 
des (Z) im ersten Speicherbereich (SI) gespei- 
cherten Basisfunktionsbezeichnungen (Bn) mit 
der, mit dem Funktionskommando zum Daten- 
trager (K) ubermittelten Funktionsbezelchnung 
(Bk) verglichen werden. 

12. Verfahren nach mindestens einem der Anspru- 
che 10 Oder 11, dadurch gekennzeichnet, 
daj3 im Falle einer fehlenden Eintragung zum 
vorliegenden Protokollzustand (Z) bzw. einer 
Nichtubereinstimmung der ubermittelten und 
der gespeicherten Basisfunktionsbezeichnun- 
gen (Bk.Bn) im ersten Speicherbereich (S1) in 
einem zwelten Speicherbereich (S2) des Spei- 
chers (S) uberpruft wird, ob die zum Datentra- 
ger (K) Cibermittelte Basisfunktionsbezeichnung 
(Bk) in diesem zweiten Speicherbereich (S2) 
bezuglich der mit dem Applikationskommando 
bezelchneten Anwendung. unabhangig vom 
vorliegenden Protokollzustand (Z) eingetragen 
ist. 

13. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche 10 bis 12, dadurch ge- 
kennzeichnet, da/J im Falle einer fehlenden 
Eintragung zum vorliegenden Protokollzustand 
Z bzw. einer Nichtubereinstimmung der uber- 
mittelten und der gespeicherten Basisfunk- 
tionsbezeichnung (Bk, Bn) sowohl im ersten 
Speicherbereich (S1 ) als auch im zweiten 
Speicherbereich (S2) uberpruft wird, ob die 
ubermlttelte Basisfunktionsbezeichnung(Bk) die 
Basisfunktionsbezeichnung (BC) ftir die schlie- 
i3ende Basisfunktion (B) ist. 

14. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, dai3 nach erfolgreicher Ausfuhrung einer 
Basisfunktion (B) die Bezeichnung dieser Ba- 
sisfunktion (B) in einem Basisfunktionsspei- 



cherplatz (BZ) des Zustandsspeicherbereichs 
(ZS) eingetragen wird. 

15. Verfahren nach mindestens einem der Anspru- 
5 Che 10 bis 14, dadurch gekennzeichnet, daB 

bei Nichtubereinstimmung der zum Datentra- 
ger (K) Ubermittelten Basisfunktionsbezeich- 
nung (Bk) mit den entsprechenden Eintragun- 
gen Im Speicher (S) diese ubermittelte Basis- 
10 funktionsbezelchnung (Bk) mit der im Basis- 

funktionsspeicherplatz (BZ) des Zustandsspei- 
cherbereichs (ZS) vermerkten Bezeichnung 
der zuletzt erfolgreich ausgefuhrten Basisfunk- 
tion (B) verglichen wird. 

75 

16. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, dai3 zu einer Basisfunktionsausfuhrung 
eventuell erforderliche, im Zustandsspeicher- 

20 bereich (ZS) abgelegte Zugriffsrechte auf Da- 

ten im Datentrager (K) uberpruft werden. 

17. Verfahren nach mindestens einem der Anspru- 
che 10 bis 16, dadurch gekennzeichnet, da/3 

25 eine im ersten Speicherbereich (Si) in Verbin- 

dung mit einer gespeicherten Basisfunktions- 
bezeichnung (Bn) abgelegte Folgezustandsbe- 
zeichnung (ZF), nach erfolgreicher Ausfuhrung 
dieser der gespeicherten Basisfunktionsbe- 

30 zeichnung (Bn) zugeordneten Basisfunktion 

(B), im Protokollzustandsspeicherplatz (Zi) des 
Zustandsspeicherbereichs (ZS) eingetragen 
wird. 

35 18. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 nach erfolgreicher Basisfunktionsaus- 
fuhrung zur Anpassung an den neuen Proto- 
kollzustand (Z) Informationen zum Protokollab- 

40 lauf und/oder zur Datenzugriffskontrolie im Zu- 

standsspeicherbereich (ZS) eingetragen wer- 
den, 

19. Verfahren nach Anspruch 18, dadurch ge- 
45 kennzeichnet, da/3 die Informationen zur Da- 

tenzugriffskontrolie getrennt nach anwendungs- 
bezogenen und globalen Oaten im Zustands- 
speicherbereich (ZS) eingetragen werden. 

50 20. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 bei negativem Vergleichsergebnis 
eine selektive Fehlermeldung vom Datentrager 
(K) zum Terminal (T) ubermittelt wird. 

55 

21. Vorrichtung zur Durchfuhrung des Verfahrens 
nach mindestens einem der Anspruche 1 bis 
20, bei der der Speicher (S) in einen gemein- 



8 



15 



EP 0 466 969 A1 



16 



schaftliche und anwendungsbezogene Daten 
enthaltenden Datenspeicher (EEPROM), einen 
auch eine Ein-/Ausgangsschnittstel!e (I/O) be- 
dienenden Arbeitsspeicher (RAM) und einen 
ein Betriebssystem (BTS) und mehrere Basis- 
funktionen (B) enthaltenden Maskenspeicher 
(ROM) eingeteilt 1st, dadurch gekennzeich- 
net, dafi der Datenspeicher (EEPROM) fur 
jede mogliche Anwendung eine die Zulassigen 
Protokollablaufe enthaltende Steuerliste (STL) 
enthalt und daj3 im Arbeitsspeicher (RAM) der 
die jeweillgen Protokollzustande (Z) aufneh- 
mende Zustandsspeicher (ZS) enthalten ist. 

22. Vorrichtung nach Anspruch 21, dadurch ge- 
kennzeichnet, 6afi die Steuerliste (STL) in 
einen Steuerlistenkopf (SK) und einen Steuerli- 
stenrumpf (SR) aufgeteilt Ist. 

23. Vorrichtung nach Anspruch 22, dadurch ge- 
kennzeichnet, dafl im Steuerlistenkopf (SK) 
linear nacheinander die Steuerlistenkopflange 
(SKL) und fur jeden bei der Anwendung mogll- 
chen Zustand (Z), beginnend mit dem ersten 
Zustand (Zl) ein Datenpaar gespeichert ist, 
das aus einer die beim jeweillgen Zustand (Z) 
ausfuhrbare Basisfunktionsanzahl (SBA) ange- 
benden Information und aus einem auf eine 
Speicherstelle im Steuerlistenrumpf (SR) wei- 
senden Pointer (SBP) besteht. 

24. Vorrichtung nach mindestens einem der An- 
spruche 22 oder 23, dadurch gekennzeich- 
net, 6ali der Steuerlistenrumpf (SR) wenig- 
stens aus einer, aus jeweils mindestens einem 
Datentupel bestehenden, jeweils einem Zu- 
stand (Z) Zugeordneten Gruppe besteht und 
da/3 die Datentupel jeweils aus einer gespei- 
cherten Basisfunktionsbezeichnung (Bn) und 
einer Folgezustandsbezeichnung (ZF) beste- 
hen. 

25. Vorrichtung nach mindestens einem der An- 
spruche 23 oder 24, dadurch gekennzeich- 
net, da)3 der einem bestimmten Zustand (Z) 
zugeordnete Pointer (SBP) jeweils auf den Be- 
ginn einer dem gleichen Zustand (Z) Zugeord- 
neten Gruppe im Steuerlistenrumpf (SR) zeigt. 

26. Vorrichtung nach mindestens einem der An- 
spruche 21 bis 25, dadurch gekennzeichnet, 
daiS einer Steuerliste (STL) eine Ausnahmenli- 
ste (SA) zugeordnet ist. 

27. Vorrichtung nach Anspruch 26, dadurch ge- 
kennzeichnet, daB im Steuerlistenkopf (SK) 
unmittelbar nach der Steuerlistenkopflange 
(SKL) eine Ausnahmenlistenblocknummer 



(SAN) eingetragen ist, die direkt oder indirekt 
den Speicherplatz angibt, an dem die Ausnah- 
menliste (SA) gespeichert ist. 

5 28. Vorrichtung nach mindestens einem der An- 
spruche 26 oder 27, dadurch gekennzeich- 
net, dal3 in der Ausnahmenliste (SA) nachein- 
ander die Basisfunktionsbezeichnungen (Bn) 
der Basisfunktionen (B) angegeben sind, die 

10 unabhangig vom vorliegenden Protokollzustand 

jederzeit ausfCihrbar sind, 

29. Vorrichtung nach mindestens einem der vor- 
hergehenden AnsprGche 21 bis 28, dadurch 
75 gekennzeichnet, dai3 im Zustandsspeicherbe- 

reich (ZS) Speicherplatze fCir bestimmte Infor- 
mationen zum Protokollablauf und/oder zur Da- 
tenzugriffskontrolle vorhanden sind. 

20 30. Vorrichtung nach Anspruch 29, dadurch ge- 
kennzeichnet, dafi im Zustandsspeicherbe- 
reich (ZS) zum Protokollablauf je ein Speicher- 
platz fur die Blocknummer (STB) der der vor- 
liegenden Anwendung zugeordneten Steuerli- 

25 ste (STL), ein Basisfunktionsspeicherplatz (BZ) 

fur die Basisfunktionsbezeichnung (Bk) der zu- 
letzt erfolgreich ausgefuhrten Basisfunktion (B) 
und ein Protokollzustandsspeicherplatz (Zi) fur 
den Protokollzustand (Z) nach der zuletzt er- 

30 folgreich ausgefuhrten Basisfunktion (B) vor- 

handen ist. 

31. Vorrichtung nach mindestens einem der vor- 
hergehenden Anspruche 29 oder 30, dadurch 

35 gekennzeichnet, daB die im Zustandsspei- 

cherbereich (ZS) vorhandenen Speicherplatze 
zur Datenzugriffskontrolle in giobale und in an- 
wendungsbezogene Speicherplatze aufgeteilt 
sind. 

40 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, dafi je ein Speicherplatz fur 
das anwendungsbezogene Speichern einer 
durchgefuhrten PIN-Prufung (PiN) fur einige 

45 sich voneinander unterscheidende durchge- 

fuhrte AuthentizitatsprUfungen (AUTH1 ,AUTH2) 
und ein globaler Speicherplatz fur das Spei- 
chern einer durchgefuhrten PIN-Prufung 
(GPiN) vorhanden sind. 
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